專利名稱：一種bios度量的ip核及度量方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種BIOS度量的IP核，特別是一種面向可信計(jì)算的BIOS度量IP核。
背景技術(shù)：
在可信平臺上，信任鏈?zhǔn)且粋€(gè)單向傳遞鏈，其間任意一個(gè)節(jié)點(diǎn)出現(xiàn)問題，尤其是可信根出現(xiàn)問題，將導(dǎo)致整個(gè)信任環(huán)境建立失敗。通常的可信平臺中，BIOS作為可信度量根， 成為攻擊的重點(diǎn)。目前許多新型的攻擊手段，如內(nèi)核BIOS Rootkit，主要通過將惡意代碼插入到BIOS中的擴(kuò)展模塊中，隨著BIOS的運(yùn)行而啟動(dòng)，獲取系統(tǒng)的控制權(quán)。隨著擴(kuò)展性更強(qiáng)的UEFI BIOS的逐漸應(yīng)用，BIOS Rootkit也將會有更多的變化，更加難以檢測和防范。這些攻擊方法、方式非常隱蔽，難以發(fā)現(xiàn)，如果惡意代碼進(jìn)入到內(nèi)核或BIOS中，并獲得系統(tǒng)管理權(quán)限，將無法防止對系統(tǒng)進(jìn)行破壞或竊取系統(tǒng)中存儲的信息。

發(fā)明內(nèi)容
本發(fā)明目的在于提供一種具有BIOS度量功能的IP核，將可信度量根放入安全芯片內(nèi)部進(jìn)行物理保護(hù)，在系統(tǒng)的啟動(dòng)過程中完成對BIOS的度量校驗(yàn)，保證系統(tǒng)信任鏈的完整傳遞。本發(fā)明是采用以下技術(shù)手段實(shí)現(xiàn)的一種具有BIOS度量功能的IP核，由LPC接口模塊、高速異步FIFO模塊、雜湊運(yùn)算模塊、度量值比較模塊、Avalon接口模塊組成；LPC接口負(fù)責(zé)通過LPC總線讀取BIOS數(shù)據(jù)， 并完成數(shù)據(jù)寬度轉(zhuǎn)換，將輸入的4位寬度的數(shù)據(jù)轉(zhuǎn)換為32位寬數(shù)據(jù)，并將讀取的BIOS數(shù)據(jù)寫入高速異步FIFO模塊；高速異步FIFO模塊匹配上下游數(shù)據(jù)讀取速度和轉(zhuǎn)換數(shù)據(jù)寬度； 高速異步FIFO模塊的輸入數(shù)據(jù)寬度為32位，而輸出數(shù)據(jù)寬度為512位；雜湊運(yùn)算模塊從高速異步FIFO模塊一次性讀入512位數(shù)據(jù)進(jìn)行雜湊運(yùn)算，當(dāng)雜湊運(yùn)算完成時(shí)將HASHFIN信號置1，并將雜湊運(yùn)算存入度量值比較模塊；BIOS度量采用的雜湊算法在四輪迭代過程中的迭代的時(shí)間一致；度量值比較模塊負(fù)責(zé)將雜湊運(yùn)算模塊得到的雜湊結(jié)果與預(yù)期的雜湊值進(jìn)行比較，并將比較結(jié)果通過Avalon接口通知安全芯片主處理器。前述的雜湊運(yùn)算采用四級流水線，每級流水線完成一輪迭代運(yùn)算，處理數(shù)據(jù)依次經(jīng)過四級流水線，每級流水線間利用與數(shù)據(jù)等寬的寄存器作為數(shù)據(jù)暫存空間?！N具有BIOS度量功能的度量方法，分兩層進(jìn)行并行操作，其中一層為輸入并行，另一層為雜湊并行；包括以下步驟1、對輸入并行操作，針對可信平臺中的需要進(jìn)行度量的文件、代碼、數(shù)據(jù)等消息的數(shù)量比較大的特點(diǎn)，將這些消息編組后，用多個(gè)雜湊運(yùn)算模塊同時(shí)并行地計(jì)算多條消息的消息摘要值；2、進(jìn)行雜湊并行操作，將每個(gè)輸入的消息分割成多個(gè)大小固定的消息塊±夬1，塊
2......塊M，最后一個(gè)消息塊如果小于固定大小，則將其填充到固定大??；然后對這些塊
并行地進(jìn)行雜湊運(yùn)算，此時(shí)可以選擇同時(shí)對幾個(gè)消息塊進(jìn)行雜湊運(yùn)算，而不是該消息的全部消息塊；先對幾個(gè)消息塊進(jìn)行處理，將其消息摘要存儲后，對剩下的消息塊繼續(xù)進(jìn)行處理，直至全部M個(gè)消息塊均處理完；3、將計(jì)算出來的M個(gè)消息摘要組合成一個(gè)新的消息，將組合后的新消息進(jìn)行雜湊運(yùn)算，將其摘要值作為輸入的消息的摘要值。本發(fā)明與現(xiàn)有技術(shù)相比，具有以下明顯的優(yōu)勢和有益效果1BI0S度量模塊可以和安全芯片并行處理任務(wù)，提高系統(tǒng)的多任務(wù)處理能力；2采用流水線設(shè)計(jì)，能夠有效提高BIOS度量速度，減小BIOS度量對系統(tǒng)啟動(dòng)的影響。


圖1為BIOS度量IP核組成結(jié)構(gòu)圖；圖2為并行雜湊計(jì)算示意圖。
具體實(shí)施例方式以下結(jié)合說明書附圖對本發(fā)明的具體實(shí)施例加以說明請參閱圖1所示，為BIOS度量IP核組成結(jié)構(gòu)圖。從圖中可以看出，該BIOS度量 IP核由LPC接口模塊、高速異步FIFO模塊、雜湊運(yùn)算模塊、度量值比較模塊、Ava Ion接口模塊組成。計(jì)算機(jī)啟動(dòng)，安全芯片掌握BIOS的訪問控制權(quán)，然后讀取BIOS的全部數(shù)據(jù)，完成雜湊運(yùn)算，并與BIOS完整性度量預(yù)期值進(jìn)行比較。在BIOS完整性校驗(yàn)過程中，安全芯片無法進(jìn)行其它的初始化操作，為了盡可能減小BIOS完整性校驗(yàn)對系統(tǒng)啟動(dòng)的影響，采用硬件實(shí)現(xiàn)BIOS度量模塊，一方面通過加快BIOS的校驗(yàn)速度來加快系統(tǒng)的啟動(dòng)速度，另一方面 BIOS度量過程完全由BIOS度量模塊單獨(dú)完成，安全芯片可以并行處理其它任務(wù)，有效提高安全芯片的多任務(wù)處理能力。LPC接口模塊負(fù)責(zé)通過LPC總線讀取BIOS數(shù)據(jù)，并完成數(shù)據(jù)寬度轉(zhuǎn)換，將輸入的 4位寬度的數(shù)據(jù)轉(zhuǎn)換為32位寬數(shù)據(jù)，并將讀取的BIOS數(shù)據(jù)寫入高速異步FIFO。高速異步FIFO模塊主要是匹配上下游數(shù)據(jù)讀取速度和轉(zhuǎn)換數(shù)據(jù)寬度。高速異步 FIFO的輸入數(shù)據(jù)寬度為32位，而輸出數(shù)據(jù)寬度為512位，一次輸入正好使雜湊運(yùn)算模塊完成一次雜湊運(yùn)算。雜湊運(yùn)算模塊從高速異步FIFO —次性讀入512位數(shù)據(jù)進(jìn)行雜湊運(yùn)算，當(dāng)雜湊運(yùn)算完成時(shí)將HASHFIN信號置1，并將雜湊運(yùn)算存入度量值比較模塊。BIOS度量采用的雜湊算法為SHA-1，在4輪迭代過程中，雖然每輪迭代過程的函數(shù)不同，但迭代的時(shí)間幾乎完全一致。為了提高BIOS度量速度，其中的雜湊運(yùn)算采用4級流水線設(shè)計(jì)，每級流水線完成一輪迭代運(yùn)算，處理數(shù)據(jù)依次經(jīng)過4級流水線，每級流水線間利用與數(shù)據(jù)等寬的寄存器作為數(shù)據(jù)暫存空間。這樣雖然每個(gè)信息塊的實(shí)際操作仍然需要80個(gè)時(shí)鐘周期，但從整個(gè)模塊來看，處理一個(gè)信息塊卻只需要20個(gè)時(shí)鐘周期。這使得在不改變其他硬件結(jié)構(gòu)的情況下，系統(tǒng)的吞吐率提高了四倍。度量值比較模塊負(fù)責(zé)將雜湊運(yùn)算模塊得到的雜湊結(jié)果與預(yù)期的雜湊值進(jìn)行比較，并將比較結(jié)果通過Avalon接口通知安全芯片主處理器。
為了進(jìn)一步提高BIOS的校驗(yàn)速度，同時(shí)更好地發(fā)揮FPGA并行處理的優(yōu)勢，在不改變雜湊算法的情況下，通過并行設(shè)計(jì)來縮短BIOS的驗(yàn)證時(shí)間。這種并行度量方法的思路是分兩層進(jìn)行并行處理，如附圖2所示。圖中 為具有固定輸入長度的雜湊運(yùn)算， 為輸出固定長度的組合操作。具體步驟如下1、對輸入的消息的并行處理。針對可信平臺中的需要進(jìn)行度量的文件、代碼、數(shù)據(jù)等消息的數(shù)量比較大的特點(diǎn)，將這些消息編組后，用多個(gè)雜湊運(yùn)算模塊同時(shí)并行地計(jì)算多條消息的消息摘要值；2、第二層則是將每個(gè)輸入的消息分割成多個(gè)大小固定的消息塊塊1，塊
2......塊M，最后一個(gè)消息塊如果小于固定大小，則將其填充到固定大小。然后對這些塊
并行地進(jìn)行雜湊運(yùn)算，此時(shí)可以選擇同時(shí)對幾個(gè)消息塊進(jìn)行雜湊運(yùn)算，而不是該消息的全部消息塊。先對幾個(gè)消息塊進(jìn)行處理，將其消息摘要存儲后，對剩下的消息塊繼續(xù)進(jìn)行處理，直至全部M個(gè)消息塊均處理完。3、計(jì)算出來的M個(gè)消息摘要組合成一個(gè)新的消息，將組合后的新消息進(jìn)行雜湊運(yùn)算，將其摘要值作為輸入的消息的摘要值。
權(quán)利要求
1.一種具有BIOS度量功能的IP核，由LPC接口模塊、高速異步FIFO模塊、雜湊運(yùn)算模塊、度量值比較模塊、Avalon接口模塊組成；所述的LPC接口負(fù)責(zé)通過LPC總線讀取BIOS數(shù)據(jù)，并完成數(shù)據(jù)寬度轉(zhuǎn)換，將輸入的4 位寬度的數(shù)據(jù)轉(zhuǎn)換為32位寬數(shù)據(jù)，并將讀取的BIOS數(shù)據(jù)寫入高速異步FIFO模塊；所述的高速異步FIFO模塊匹配上下游數(shù)據(jù)讀取速度和轉(zhuǎn)換數(shù)據(jù)寬度；高速異步FIFO 模塊的輸入數(shù)據(jù)寬度為32位，而輸出數(shù)據(jù)寬度為512位；所述的雜湊運(yùn)算模塊從高速異步FIFO模塊一次性讀入512位數(shù)據(jù)進(jìn)行雜湊運(yùn)算，當(dāng)雜湊運(yùn)算完成時(shí)將HASHFIN信號置1，并將雜湊運(yùn)算存入度量值比較模塊；BIOS度量采用的雜湊算法在多輪迭代過程中的迭代的時(shí)間一致；所述的度量值比較模塊負(fù)責(zé)將雜湊運(yùn)算模塊得到的雜湊結(jié)果與預(yù)期的雜湊值進(jìn)行比較，并將比較結(jié)果通過Avalon接口通知安全芯片主處理器。
2.根據(jù)權(quán)利要求1所述的一種具有BIOS度量功能的IP核，其特征在于所述的多輪迭代過程為四輪迭代。
3.根據(jù)權(quán)利要求1所述的一種具有BIOS度量功能的IP核，其特征在于所述的雜湊運(yùn)算采用四級流水線，每級流水線完成一輪迭代運(yùn)算，處理數(shù)據(jù)依次經(jīng)過4級流水線，每級流水線間利用與數(shù)據(jù)等寬的寄存器作為數(shù)據(jù)暫存空間。
4.一種具有BIOS度量功能的度量方法，其特征在于分兩層進(jìn)行并行操作，其中一層為輸入并行，另一層為雜湊并行；包括以下步驟4. 1、對輸入并行操作，針對可信平臺中的需要進(jìn)行度量的文件、代碼、數(shù)據(jù)等消息的數(shù)量比較大的特點(diǎn)，將這些消息編組后，用多個(gè)雜湊運(yùn)算模塊同時(shí)并行地計(jì)算多條消息的消息摘要值；4. 2、進(jìn)行雜湊并行操作，將每個(gè)輸入的消息分割成多個(gè)大小固定的消息塊塊1，塊2......塊M，最后一個(gè)消息塊如果小于固定大小，則將其填充到固定大??；然后對這些塊并行地進(jìn)行雜湊運(yùn)算，此時(shí)可以選擇同時(shí)對幾個(gè)消息塊進(jìn)行雜湊運(yùn)算，而不是該消息的全部消息塊；先對幾個(gè)消息塊進(jìn)行處理，將其消息摘要存儲后，對剩下的消息塊繼續(xù)進(jìn)行處理，直至全部M個(gè)消息塊均處理完；4. 3、將計(jì)算出來的M個(gè)消息摘要組合成一個(gè)新的消息，將組合后的新消息進(jìn)行雜湊運(yùn)算，將其摘要值作為輸入的消息的摘要值。
全文摘要
本發(fā)明公開了一種具有BIOS度量功能的IP核及度量方法，該IP核由LPC接口模塊、高速異步FIFO模塊、雜湊運(yùn)算模塊、度量值比較模塊、Avalon接口模塊組成；BIOS度量采用的雜湊算法在四輪迭代過程中的迭代的時(shí)間一致；度量值比較模塊負(fù)責(zé)將雜湊運(yùn)算模塊得到的雜湊結(jié)果與預(yù)期的雜湊值進(jìn)行比較，并將比較結(jié)果通過Avalon接口通知安全芯片主處理器。度量方法分兩層進(jìn)行并行操作，其中一層為輸入并行，另一層為雜湊并行；本發(fā)明的BIOS度量模塊可以和安全芯片并行處理任務(wù)，提高系統(tǒng)的多任務(wù)處理能力；采用流水線設(shè)計(jì)，與現(xiàn)有技術(shù)相比，具有更強(qiáng)的數(shù)據(jù)處理能力和多任務(wù)處理能力，能極大的減小系統(tǒng)啟動(dòng)過程中BIOS度量對系統(tǒng)的影響。
文檔編號G06F21/00GK102339368SQ201110195919
公開日2012年2月1日 申請日期2011年7月13日 優(yōu)先權(quán)日2011年7月13日
發(fā)明者傅子奇, 劉毅, 唐金藝, 李紅, 沈昌祥, 王宏濤, 王斌, 蔡誼, 鄭志蓉, 郭靈兒, 鄢斌, 金剛 申請人:中國人民解放軍海軍計(jì)算技術(shù)研究所, 中國航天科工集團(tuán)第二研究院七〇六所